收回控制权提高安全性成熟度的主动方法（英）

收回控制权:提高安全成熟度的主动方法 2收回控制权:提高安全成熟度的主动方法在无数头条新闻、政府警报和专家警告之后，信息再清楚不过了：威胁网络安全正在上升。网络犯罪分子比以往任何时候都多，而且他们的胆子越来越大。例如，估计每 11 秒就会发生一次勒索软件攻击，并创纪录的支出2021 年夏天赚了 5000 万美元。有了这样的消息，很容易气馁。我们是否应该让自己专注于如何从不可避免的攻击中恢复过来？虽然为应对所有情况做好准备很重要，但为您的网络安全策略添加主动方法可以帮助预测攻击，使您能够保持灵活性并适应新的攻击向量和不断变化的威胁格局。基础设施保护侧重于通过可操作的洞察力比攻击者领先一步，这些洞察力有助于识别风险并确定风险的优先级，提供补救途径和增强安全性。在本指南中，我们将介绍主动策略的不同方面，重点介绍漏洞管理、渗透测试和红队的独特优势，以及它们如何协同工作以帮助组织在攻击者之前弥合安全漏洞企图违反。2收回控制权：提高安全成熟度的主动方法 3收回控制权：提高安全成熟度的主动方法示例模型成熟你的安全实施漏洞管理计划不能也不应该在一夜之间完成。虽然很容易被漏洞管理程序可能涉及的所有内容所淹没，但成熟度过程可以分为几个步骤，这样您就可以持续保持增长。首先，在决定如何逐步前进之前，退后一步弄清楚你在这个过程中的位置是很重要的。推进您的漏洞管理计划可能是一段旅程，但值得一试。您的计划越成熟，您的组织就越能避免可能损害您的业务和声誉的代价高昂的攻击和违规行为。尽管每个人看起来可能略有不同，以下威胁和漏洞成熟度模型可以帮助您了解路线图的外观，每个级别逐步领先了解您可能如何受到攻击和利用，以及对抗对手的有效方法。3 0级：不存在的没有漏洞扫描、手动漏洞评估、零星修补、很少的流程到位、没有指标许多公司仍然发现自己没有解决漏洞的真正策略。发生这种情况的原因有很多——一些公司主要专注于反病毒等反应性防御，而较小的公司可能没有资源除了手动修补之外的任何东西。无论您的组织规模如何，临时漏洞管理都不够充分或结构化。摆脱不存在的程序的方法很简单。组织将需要开始定期漏洞扫描，使用工具、服务或两者兼而有之。扫描应涵盖 Web 和网络向量，以及检查设备配置错误。1级: 扫描零星漏洞扫描、基本补丁、基本流程、简单指标随着漏洞扫描的加入，组织将掌握大量新信息。他们将能够看到他们的 IT 环境有多么脆弱，并了解他们可能面临的风险类型。然而，这些信息只有在你用它做某事时才有价值。要进入下一个级别，您需要在扫描完成后开始为后续步骤制定策略，例如补救计划和后续扫描。此外，有效安全策略的一个关键部分是寻找在行业最佳实践和合规性方面。如今，几乎每个行业都有该行业的组织必须遵守的监管要求和安全要求。2 级: 评估与合规使用监管框架作为基线、计划的漏洞扫描、修补生命周期、更复杂的流程、很少的可衡量性这一级别的组织已经从很大程度上临时性的方法转变为结构化的安全策略，该策略使用法规或行业最佳标准作为指南来全面构建漏洞管理框架。例如，适用于存储、处理或传输持卡人数据的任何组织的支付卡行业数据安全标准 (PCI DSS) 设定了修补时间表，并要求每季度运行一次扫描，以及何时运行网络发生重大变化。一旦达到这个级别，组织还应该考虑运行基本的渗透测试，这有助于证明对法规的遵守并验证任何补救措施，例如补丁实施。进入第三级进一步充实了该计划，提供更多背景信息来增强漏洞风险优先级。4收回控制权：提高安全成熟度的主动方法 第 3 级：分析和优先排序以风险为中心的优先数据分析、数据驱动的补丁、可衡量的流程、新兴指标和趋势虽然合规标准是安全的一个很好的基准，但满足要求并不意味着你已经达到了漏洞管理的顶峰——通常它是最低限度的。相反，它使您能够通过进一步的渗透测试更深入地了解细节，这可以通过验证潜在威胁来添加更多业务上下文，并根据环境中的可利用性对漏洞的危险进行排名。进入下一个级别需要更多的洞察力和策略，不仅要查看单个单元或上下文中的漏洞，还要考虑可用于跨越多个威胁向量的整个攻击路径。第 4 级：攻击管理以攻击者和威胁为中心，扫描多个威胁向量，根据关键资产的风险、威胁驱动的指标和趋势进行修补一旦达到这个级别，漏洞就会出现在整个管理生态系统的框架中，从发现到利用再到补救再到验证。攻击管理使用扫描和渗透测试数据来识别威胁参与者如何通过系统移动，使用不同的漏洞来访问关键业务资产。优先级具体基于这些资产的风险。此外，红队可用于模拟真实的攻击场景，模拟对手来测试组织的防御程序。第 5 级：业务风险管理威胁和风险与业务目标一致，扫描所有威胁向量并确定优先级，持续修补，统一流程最终，这是所有组织都应努力达到的水平：一个全面开发的管理程序，将整个环境考虑在内，分析来自漏洞扫描、渗透测试和红队参与的数据；检查指标以识别趋势；使用增强的流程；并实施补救技术。但是，重要的是不要闲着。为了保持在第 5 级，您必须继续验证您的程序，重新访问流程和工具，以便跟上最新的策略和技术。5收回控制权：提高安全成熟度的主动方法 收回控制权：提高安全成熟度的主动方法漏洞管理安全漏洞是一种弱点、缺陷或错误配置，攻击者可以利用它来获得对 IT 环境的初始访问权限、横向移动或提升 IT 环境中的权限。安全漏洞是每个组织都必须不断与之抗争的技术的特有部分。根据国家漏洞数据库（NVD），2020 年发现了 19,000 多个漏洞，2021 年发现了 20,000 多个。网络安全的目标不再是消除漏洞，而是有效管理以最大限度地减少攻击面越多越好。专注于发现这些安全弱点的漏洞管理不仅仅是积极主动的基础设施保护方法，对于为任何网络安全计划奠定坚实的基础至关重要。6 7收回控制权：提高安全成熟度的主动方法分类漏洞影响硬件和软件的漏洞可能是由于应用程序中的缺陷、配置不当以及最终用户的危险行为等任何原因造成的。它们在严重性方面差异很大——有些影响系统的机会很小，而另一些可能会导致攻击者获得远程访问。 Common Weakness Enumeration (CWE) 是一个社区开发的综合列表，列出了数百种类型的弱点，不幸的是，它还在继续增长。在侧边栏中可以看到一些最危险的软件弱点。除了跟踪不同类型的漏洞外，安全专业人员还跟踪每个独特的实例这些弱点在野外出现。 Common Vulnerabilities and Exposures (CVE) 系统是一个参考列表提供 ID 号和特定已知漏洞的描述。例如，CVE-2021-41379 是 Windows Installer 中的权限提升漏洞。 CVE 系统已成为记录特定漏洞的标准方法，被国家漏洞数据库 (NVD) 和全球其他数据库使用。每个已知漏洞都可以分类为CWE ID。例如，CVE-2021-41379 被视为权限管理不当 (CWE-269) 的一个实例。常见软件漏洞越界写入网页生成期间输入的不正确中和（“跨站点脚本”）越界读取输入验证不当操作系统命令中使用的特殊元素的不正确中和（“操作系统命令注入”）SQL 命令中使用的特殊元素的不正确中和（“SQL 注入”）免费后使用路径名对受限目录的不当限制（“路径遍历”）跨站请求伪造 (CSRF)无限制上传危险类型文件7CWE-434CWE-352CWE-22CWE-416CWE-89CWE-78CWE-20CWE-125CWE-79CWE-787 漏洞管理工具拥有有效的漏洞管理工具对于跟踪组织的当前安全状态至关重要。最常见的解决方案类型是漏洞扫描器，这是一种扫描网络或 Web 应用程序以识别漏洞的自动化工具。虽然每台扫描仪都不同，但有效的解决方案将有助于评估这些漏洞利用外部情报生成报告，根据风险和标准化或专有评分系统对漏洞进行优先级排序。漏洞扫描现在被认为对网络安全至关重要，以至于许多不同的合规性法规都需要它，包括 PCI DSS、HIPAA 和 SOX。漏洞管理解决方案（如 Frontline VM）特别有用，因为它们可以完全自动化且易于使用。组织可以经常运行扫描以获取其环境安全性的最新情况，这些情况每天都会发生变化，尤其是在添加或更新软件或硬件时。扫描仪并不是唯一的漏洞管理工具。其他更专业的工具也可以帮助识别安全漏洞。例如，应用程序开发人员通常使用动态应用程序安全测试 (DAST) 工具（如 beSTORM）来执行黑盒模糊测试，这可以通过随机数据注入来发现错误。他们还可以使用静态应用程序安全测试 (SAST) 工具，例如 beSOURCE，来检查他们的应用程序的实现（源代码）。这个分析包括完整的源代码审计（也称为代码审查）。8收回控制权：提高安全成熟度的主动方法 9收回控制权：提高安全成熟度的主动方法渗透测试渗透测试使用与攻击者相同的技术来发现和安全地利用漏洞，以确定威胁行为者是否可以利用安全漏洞成功破坏环境，以及他们是否可以从这个漏洞中转移以获取对其他部分的访问权限系统通过提权或其他方式。换句话说，渗透测试衡量系统或最终用户妥协的可行性，并评估此类事件可能对所涉及的资源或操作产生的任何相关后果。完成渗透测试后，将创建一份报告，详细说明基于测试人员能够有效利用漏洞的风险级别。这些报告有助于证明防御机制的有效性，以及最终用户对安全策略的遵守情况。此外，这为组织提供了一条补救之路。9 10渗透测试和漏洞管理解决方案的区别尽管它们经常被误认为是同义词，但渗透测试和漏洞扫描有几个显着的区别。然而，它们密切相关并且同样重要，因为渗透测试建立在漏洞管理工作的基础上，采取下一步措施来评估 IT 环境的安全性并进一步确定风险的优先级。有三种两种安全流程之间的主要区别：1.如前所述，漏洞管理侧重于扫描已知的安全弱点并根据优先级确定它们关于外部威胁情报。渗透测试侧重于利用这些弱点来查看攻击者是否以及如何容易地破坏环境。2.漏洞管理往往更高级别，扫描大部分或整个安全环境。渗透测试通常会限制其范围，只针对一两个关键领域来深入挖掘潜在威胁。3.漏洞评估通常比渗透测试更频繁地运行。如果他们的 VM 解决方案是用户友好的，组织甚至可以每天运行它们以确保不会引入漏洞，尤其是在基础架构过渡期间，例如系统迁移。渗透测试通常需要在执行之前进行了更多的计划，因此运行频率较低。 收回控制权：提高安全成熟度的主动方法10 渗透测试团队渗透测试团队可以是内部或外部的第三方服务。通常，较大的组织会投资建立一个完整的内部团队，以通过更一致的举措来支持他们的漏洞管理计划，特别是在保持合规性方面。内部团队还可以帮助快速执行任何补救措施。然而，专业的渗透测试人员可能是一种稀缺资源，因此创建一个完整的内部团队可能非常具有挑战性。事实上，根据在 2021 年网络安全劳动力调查中，60% 的研究参与者报告说，网络安全劳动力缺口正将他们的组织置于风险之中。因此，由较小的安全团队来处理基本的例行测试也很常见，而第三方服务则需要进行更复杂的测试。即使是那些拥有完整内部团队的人也可能出于各种原因调用第三方服务。例如，内部 IT 或安全团队可能很难看到所有问题因为，就像在日常生活中一样，习惯于情境或环境可以使只见树木不见森林。渗透测试服务提供外部观点，提供全新的视角并客观地识别可能被忽视的安全问题。此外，由于第三方服务正在全职执行渗透测试和其他安全评估，除了提供独特的策略和技术组合外，它们还可以及时了解最新的攻击。渗透测试工具正如威胁行为者使用工具迅速破坏环境一样，渗透测试人员也使用许多工具（例如 Core Impact）来简化利用漏洞的过程。例如，有一些工具可以帮助创建复杂的鱼叉式网络钓鱼活动，以测试员工识别此类攻击的能力。其他专门的渗透测试工具包括端口扫描仪、密码破解程序